第三方支付机构反洗钱管理面临重重困难,刑事风险如何防范?
第三方支付机构作为非银行金融机构中占据主导地位且不断壮大的主体,由于网络支付的天然属性,其反洗钱管理面临诸多困难。当第三方支付机构出现在越来越多与洗钱相关的刑事案件中时,这种严重的情况足以引起相关从业者的关注。那么,第三方支付机构在反洗钱管理中经常遇到哪些重大犯罪风险,又该如何有针对性地进行犯罪合规建设和防范呢?
一、近期处罚案件两起
2020年3月,第三方支付机构深圳瑞银信息技术有限公司(以下简称“瑞银”)收到中国人民银行4张罚单,罚金总额高达6000万元。行政处罚信息披露材料显示,瑞银证券违反了相关反洗钱规定。人民银行深圳中心支行对公司和责任人实行双倍处罚制度。公司收到罚款时,三名相关责任人也受到处罚,分别是公司当时的副总经理、运营部总经理和风控部总经理。
附:行政处罚信息公开表
政党名称
行政处罚决定书号
犯罪类型
行政处罚内容
作出行政处罚决定的机关名称
作出处罚决定的日期
深圳市瑞银信息技术有限公司
深银罚(2020)3号
1、超出批准的经营范围
2、未按要求建立相关制度、方法或者风险管理措施
3、未按要求履行客户身份识别义务
4. 与身份不明的客户进行交易
5、未按要求提交可疑交易报告
罚款6124万元
中国人民银行深圳市中心支行
2020 年 3 月 26 日
同样,财付通支付技术有限公司(以下简称“财付通”)作为微信支付和QQ钱包的运营主体,也因未履行客户身份识别义务、未按规定办理业务而受到中国人民银行的处罚。遵守法规。提交可疑交易报告并违反相关反洗钱规定并处以罚款。
上述案例只是第三方支付平台因违反反洗钱规定而受到处罚的典型例子。据统计,2019年,第三方支付行业收到至少25起监管罚款,涉及20家支付机构,罚款没收总金额超过2.38亿元。其中,交易真实性审查和客户信息保护已成为第三方支付平台反洗钱管理面临的主要风险暴露。其中涉及的刑事风险和合规问题也成为各平台反洗钱合规管理的重点。 。
2、反洗钱管理的两大风险暴露及刑事法律风险
(一)两大风险暴露之一:交易真实性审查和刑事法律风险
1、交易真实性审核及行政监管背景挑战
近年来,第三方支付机构面临着各种反洗钱挑战。其中,较为集中的有:1)客户信息泄露、2)跨境支付洗钱、3)网络诈骗、4)境内外犯罪所得。存在资金、空壳商利用第三方支付渠道进行洗钱等风险。与银行、保险公司等传统金融机构相比,支付机构的开户流程大多较为简单,对客户的尽职调查往往无法深入到底。根据收款人的要求,一些中小机构甚至可以为客户开立支付账户,只需一个手机号码即可收付资金。
时任财付通反洗钱中心高级总监周志明公开谈到2018年反洗钱工作面临的三大挑战:“自助金融服务快速扩张,用户身份识别变得更加困难;在线支付服务的普及增加了交易追踪的难度;多账户交易非常复杂,并且隐藏了交易的真实目的。”
一般来说,合法正常的网上交易涉及商户、第三方支付平台、金融机构、清算组织等环节。支付平台反洗钱最基本、最核心的要求之一就是保证交易的可追溯性。这也是平台本身合法合规、高效运营的前提和要求。 2018年,中国人民银行颁布了《中国人民银行关于非银行支付机构开展大额交易报告有关要求的通知》(银发[2018]163号)及其配套大额交易报告。金额交易报告报文接口规范、《互联网金融机构反洗钱和反恐怖融资管理办法》(银发[2018]230号)、《中国人民银行办公厅关于《进一步加强反洗钱和反恐融资工作》(银办发[2018]130号)》、《中国人民银行关于进一步完善受益所有人身份识别工作的通知》(银发[2018]164号)》和《支付机构非现场核查数据接口规范》(第301号)等一系列反洗钱规范性文件,不断释放出强有力的监管要求信号。上述文件中,监管部门在风险管理政策、架构和程序、制度建设、数据治理、内部审计和绩效考核等方面提出了更加明确、明确和严格的控制要求,为第三方支付提供反馈机构。有效履行洗钱义务指明了方向。
但从近年来发生的多起支付平台洗钱案件来看,反洗钱面临的最大挑战或许不仅仅局限于已完成交易的可追溯性。交易的真实性往往也是反洗钱防控的重点和难点。由于第三方支付平台在网络平台交易中的作用,其在交易过程中很难判断商品交易信息、价格和交易的真实性。例如:我们经常看到一些购物平台上的商品价格与实际价值相差甚远。一般来说,除非购物平台采取人工干预和审核的方式来验证商家的交易以及商品和服务的真实性,否则第三方支付平台作为交易中介很难确定商品和服务的真实性。相关交易。当然,第三方支付平台也会对某些商户的频繁、大额交易有一定的预警和报告机制。但由于不法商户洗钱手段的多样化和隐蔽性(部分不法商户会接入四方支付),无论是商品交易平台还是第三方支付平台都必须全面审查商户服务的真实性。他们将面临成本与收益的冲突以及用户体验下降的风险。因此,平台通常以定期抽查、事后问责的形式来实施反洗钱。风险防控。
上面我们提到了四方支付。四方支付在商户洗钱过程中扮演什么角色?所谓四方支付主要起到聚合整个网络交易过程中的各类商户、银行、第三方支付平台、清算机构等服务商的作用,为洗钱客户提供综合性的支付结算服务。目前,诈骗、色情、赌博、毒品、军火交易等网络犯罪的非法所得大部分是通过四方支付进行“洗钱”的。这些四方支付搭建低成本网络平台(不需要POS机等硬件,也没有支付牌照限制,只需要搭建一个技术门槛极低的系统)大量收购空壳公司并借用或窃取个人信息进行注册。 “第三方支付”账户并利用这些账户收取客户资金,承担相关非法资金结算工作,获取高额收入。
四方支付平台通常会寻找更多的承兑人(虚构账户)来帮助收款,以避免洗钱风险。承兑人一般不会将非法收入转移到商户账户,但这些虚拟账户会收取款项。交易的类型通常也是这些看似普通的商品和服务。经过几轮“洗钱”行为后,这些交易被平台监控的风险将会大大降低。即使由于某种原因受到监控,商户和实际收款人也可以将责任和风险转嫁给提供身份证明文件开户的空壳公司和个人。
2、交易真实性审查涉及的刑事法律风险
对于第三方支付机构在反洗钱管理过程中进行交易真实性审查时存在的刑事法律风险,可以从两个层面来考虑:一是第三方支付机构因交易真实性审查而涉嫌洗钱。未能达到其目的。二是单位因员工违法犯罪行为被追究刑事责任的法律风险。它们的描述如下。
(一)洗钱犯罪涉及的刑事风险
如上所述,第三方支付机构由于自身特点,在验证交易真实性方面常常遇到困难。从而无法防范洗钱风险,成为犯罪分子洗钱的工具。自从第三方支付机构出现以来,通过第三方支付机构进行洗钱的案件屡见不鲜。例如,2014年张某、郑某贩毒案中,犯罪分子利用多张身份证在电商平台注册账户,以售卖茶叶、香料等名义销售毒品,并通过第三方支付款项。 - 一方付款方式。通过快递进行贸易。犯罪分子利用第三方支付交易真实性难以核查的特点,逃避监管,洗钱毒品收益。此外,利用电子商务平台和第三方支付方式进行洗钱日益成为诈骗等犯罪集团的常用手段。
目前,我国《刑法》主要规定了四条洗钱罪,即第191条洗钱罪、掩饰、隐匿犯罪所得罪、犯罪所得罪、犯罪所得罪。涉及第312条。第349条窝藏、转移、隐匿毒品、毒品赃物罪,以及第120条之1涉及反向洗钱(反恐怖主义)——协助恐怖活动罪。第三方支付机构一旦被用作洗钱工具,必然会卷入上述犯罪乃至上游犯罪链条。这种涉案有两层含义:一是第三方支付机构本身不构成洗钱犯罪,但因其涉案而受到刑事立案侦查。即使不以犯罪嫌疑人身份出现,被立案侦查也可能在很大程度上影响企业的正常生产经营。当今社会,企业因涉及刑事案件而被调查的风险越来越普遍。刑事风险。其次,第三方支付机构直接参与洗钱活动,构成洗钱犯罪,例如上述四方支付平台案。这种犯罪风险是比较直观的,不再详细描述。
(二)员工参与洗钱犯罪给单位带来的刑事风险
上述四类洗钱犯罪中,除窝藏毒品赃物罪外的三类犯罪均明确规定了单位犯罪情节。这也使得第三方支付机构有可能因“内部”员工参与犯罪而承担刑事责任。性别。
扬中市公安局破获的“8月22日某团伙第三方支付平台洗钱案”中就有报道。该团伙涉案的非法资金大部分是通过第三方支付公司流通的。这个第三方支付机构为犯罪分子提供接口。经查,部分第三方支付机构业务员对部分不法分子进行营销宣传,告诉其如何申请或直接帮助申请“假五证”,帮助办理接口、收取费用等。收费,然后成立专门的“第四方”。 “房”支付平台用于洗钱、结算、分配赃物。在这起案件中,公安逮捕了涉案第三方支付公司的五名员工,但尚未报道该公司后来是否被追究刑事责任。即便如此,实践中,第三方支付机构仍应高度警惕因员工犯罪而承担洗钱犯罪刑事责任的风险,尤其是涉案员工数量较大、跨部门、或涉及管理。
(2)两大风险暴露:客户信息保护和刑事法律风险
一、关于反洗钱管理中客户信息保护的挑战及行政监管背景
近年来,由于技术或人为原因,第三方支付平台客户个人信息和交易信息被泄露,资金被盗。客户的隐私受到侵犯,也蒙受了巨大的经济损失。 2015年,全球最大的比特币交易平台MT.Gox遭到黑客攻击,信息泄露、资金被盗。 MT.Gox 最终宣布破产。
2019年,一家爬虫科技公司因涉嫌侵犯公民隐私和知识产权、非法出售公民隐私数据被立案调查。此前依赖该公司进行反洗钱风控调查的第三方支付平台不得不取消与其合作,导致该平台受到反洗钱专项检查。面临新挑战的是跨境支付反洗钱核查。目前,国内大部分第三方支付平台都会通过合作电商平台获取商户和消费者的隐私数据,以检查其是否存在洗钱行为。例如,当商家或消费者重复溢价销售或购买商品,或者同一消费者多次更改账号进行跨境支付时,第三方支付平台就会将其视为可疑。交易经过验证和报告,以实现反洗钱监管。根据相关法律法规,如何合理获取和使用数据,如何在保证其用户体验的同时保护客户数据的安全,各第三方支付平台也一直在探索完善的方案。
2018年5月25日,欧盟推出的《通用数据保护条例》(GDPR)已被国内部分支付平台采用。其基本核心理念是:“同意”是数据处理的法律依据。也就是说,电商平台每次进行跨境购物支付时都需要获得用户相应的数据授权协议,并允许第三方支付机构使用部分用户的隐私数据进行反洗钱。洗钱审查。
在我国,反洗钱监管层面对于客户信息保护也有较为详细的立法和处罚规定:《反洗钱法》第五条、第七条、第三十二条的处罚规定; 2007年第2号令第三条; 2016年第3号令第二十二条、第二十三条; 2013年2号文件等均明确规定了客户信息保密范围,包括客户身份信息和材料、账户交易流向、大额和可疑交易报告和工作记录、客户风险等级、可疑案件监控模型、黑名单信息、洗钱风险评估相关内容、反洗钱分类评级结果、反洗钱协助信息等。2020年,《中国人民银行关于发布金融业标准完善金融业技术管理的通知》 《个人金融信息保护》(银发[2020]45号)还明确了个人金融信息的范围、标准、收集和使用。信息保密各方面技术标准。
2、客户信息保护涉及的刑事法律风险
第三方支付机构在反洗钱过程中遇到的客户信息保护问题贯穿于信息获取、信息存储、信息使用、信息传递等多个环节。这些链接所涉及的法律风险除上述风险外。除了行政处罚风险外,还涉及刑事风险。
从犯罪风险来看,最直接涉及的犯罪是侵犯公民个人信息犯罪。 《刑法》第253条之一规定:违反国家有关规定,出售、向他人提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,出售、提供在履行职责或者为他人提供服务过程中获取的公民个人信息的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员对责任人员依照各款的规定给予处罚。该规定规范非法获取、出售、提供公民个人信息的行为。这里的违法是基于《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条的规定。应理解为违反有关公民个人信息保护的法律、行政法规、部门规章的行为。这也与上述反洗钱过程中第三方支付机构保护客户信息的行政法规和监管衔接,形成了规定。客户信息保护规则体系。
除了上述直接涉及的犯罪之外,与交易真实性审核的场景类似,第三方支付机构在反洗钱中保护客户信息方面也可能牵涉到其他实体或内部员工的犯罪行为,从而遭遇刑事风险。例如,上述依赖爬虫大数据公司进行反洗钱监管的第三方支付机构,极有可能因爬虫大数据公司在数据采集、存储过程中的违法犯罪行为而受到牵连。 、使用和流通。在此过程中,爬虫大数据公司可能涉嫌侵犯公民个人信息罪、危害计算机信息系统罪(包括非法获取计算机信息系统数据罪、破坏计算机信息系统罪)、侵犯商业秘密罪等。 、侵犯版权、拒绝表演。信息网络安全管理义务等,与之合作的第三方支付机构可能面临刑事立案调查或其他犯罪风险。此外,第三方支付机构从业人员(以下简称“内部人员”)的违法犯罪行为也可能引发公司刑事法律风险。最常见的情况是内部人员泄露并出售第三方支付机构合法获取和收集的公民个人信息。如何将员工个人犯罪与单位犯罪隔离开来,也是第三方支付机构刑事合规的重要目标。
三、第三方支付机构反洗钱管理中的刑事合规建议
除了按照法律法规和规则的要求做好各项反洗钱工作,避免单位本身直接构成犯罪外,根据上述分析,从刑事合规角度来看,第三方支付机构还可以采取以下措施尽量减少刑事犯罪: 风险:
1.针对涉及其他实体的犯罪采取的刑事合规措施
对于涉及其他主体犯罪并已被提起刑事诉讼的第三方支付机构,在处理相关案件时必须具备危机管理思维,将整个案件作为危机公关事件处理,避免引发危机。公众的信任和更大的后果。风险。此外,公司应当依照刑事诉讼法律、法规的规定参与刑事诉讼,维护公司的合法权益;相反,也应当遵守法律法规,谨慎操作,避免毁灭证据或者其他有碍侦查机关调查取证的行为。
2. 将员工犯罪与单位责任分离的刑事合规措施
建立并实施良好的企业合规制度,是隔离员工犯罪与单位刑事责任的重要手段。这里可以参考著名的雀巢员工侵犯公民个人信息案。本案中,雀巢某区域经理为抢占市场份额、推广产品,指使员工通过拉关系、支付福利等手段,从医务人员处非法获取公民个人信息。随后,雀巢是否构成侵犯公民个人信息的企业罪引发了较大争议。法院最终以雀巢禁止员工贿赂医务人员、非法收集消费者个人信息为基础,制定了多项规范性政策。并建立了相应的培训制度,并要求员工签署承诺书,认定雀巢不构成组织犯罪。
这是我国企业通过建立较为完善的合规体系成功规避刑事风险的典型案例。对于第三方支付机构规避相关单位的犯罪风险也有一定的影响。
综上所述,要建立良好的合规体系,避免因员工参与洗钱、侵犯公民个人信息等犯罪活动而引发企业犯罪风险,首先要制定反洗钱、反洗钱、反洗钱等法律法规。符合法律法规、符合实际情况的侵权措施。信息等相关内部政策和制度,并按照劳动合同法的有关规定,通过民主程序使相关制度有效、适用。值得注意的是,基于支付方式的快速发展和犯罪手段的不断创新,相关政策和制度应依法及时更新、有效;其次,对于上述相关政策制度,应通过适当方式让员工了解并监督其遵守情况,包括通过民主程序公开相关制度并收集意见,明确颁布制度并通报公告,组织培训、学习和宣传等。考核,将重要制度纳入员工手册或劳动合同附件,要求员工签署承诺书等;针对不同部门、岗位类型的员工,应根据部门、岗位的特点及其在反洗钱措施中的作用,有针对性地制定政策。三是建立反洗钱等违法违规行为的内外部举报机制,确保监督和反馈渠道畅通。
3.引入外部团队进行合规审查
与银行等其他金融机构相比,第三方支付机构的创新性、匿名性、间接性等属性决定了其在反洗钱管理中比其他金融机构更容易面临可能的犯罪风险。交易内容真实有效。性审查和客户信息保护带来的挑战,使得第三方支付机构在内部刑事合规过程中遇到更大的困难。与此同时,金融行业的各种复杂规则以及第三方支付行业技术的快速发展,进一步增加了第三方支付机构自行建立有效的刑事合规体系的难度。鉴于此,聘请经验丰富的外部合规团队(包括技术和法律团队)进行刑事合规审查,有利于整合专业和经验优势,建立相对完善、可操作、实时更新的合规体系。另一方面,也可以充分发挥独立第三方在调查取证方面的优势,更有利于防患于未然。
资料来源:中国人民银行深圳市中心支行官方网站,访问地址:2020年11月3日。
北京商报:“第三方支付‘收紧’,今年20家机构被罚款没收2.38亿元。”访问地址:2020年11月3日。
案号:(2014)现陶行初字第1号
参考镇江市公安局官网:《扬中市警方严厉打击团伙诈骗案件,破获案件3000余起,涉案金额超2000万元》,访问地址:,访问日期:2020年11月5日。
《反洗钱法》第五条:依法履行反洗钱职责或者义务获取的客户身份信息和交易信息应当保密;除法律规定外,不得向任何单位和个人提供。反洗钱行政部门和其他依法负有反洗钱监督管理职责的部门、机构履行反洗钱职责获取的客户身份资料和交易信息,只能用于反洗钱行政调查。司法机关依照本法取得的客户身份信息和交易信息只能用于反洗钱刑事诉讼。
《反洗钱法》第七条:任何单位和个人发现洗钱活动,有权向反洗钱行政部门或者公安机关举报。受理举报的机构应当为举报人及举报内容保密。
《反洗钱法》第三十二条:金融机构有下列行为之一的,由国务院反洗钱行政部门或者其授权的派出机构责令限期改正:设区的市级以上;如果情况是严重的,则应以两人的罚款不少于100,000元但不得超过500,000元的罚款,直接负责的董事,高级管理人员和其他直接责任的人员不得被罚款小于10,000元但不超过50,000元人民币:(5)违反保密法规并泄露相关信息; ...如果金融机构承诺上一段中提到的行为,从而造成洗钱的后果,则应将其罚款不少于500,000元人民币,但不超过500万元人民币,直接负责的董事,高级管理人员和其他直接负责的人员应被罚款不少于50,000元。罚款不超过500,000元人民币;如果情况特别严重,反洗钱行政部门可能会建议相关的金融监管机构命令公司暂停企业进行纠正或撤销其业务许可。对于董事,高级管理人员和其他直接负责的金融机构的人员根据法律,或者建议根据法律将其从其立场中撤销。资格并禁止他们从事相关的金融行业工作。
“管理客户身份材料的识别和保存措施和金融机构的交易记录的措施”第3条:...金融机构应符合安全,准确性,完整性和机密性的原则,适当地保留客户身份材料和交易记录,以确保可以为每笔交易重复使用,并提供确定客户,监控和分析交易,调查可疑交易活动并调查洗钱案件所需的信息。
“金融机构对大型和可疑交易报告的管理措施”的第22条:金融机构应遵守完整性,准确性,安全性,安全性和保密性的原则,报告大型交易和可疑交易,以及可疑交易,并记录反映交易分析和内部处理的工作。此类信息应在发电之日起至少保存5年。如果保留的信息涉及在反洗钱调查下进行的可疑交易活动,并且当前一段中指定的最低保留期限时,尚未完成反洗钱调查,则金融机构应保留直到反 - 洗钱调查已完成。第23条:金融机构及其员工应通过履行其根据法律报告大型交易和可疑交易的义务获得的客户身份信息和交易信息,并根据法律报告,监控,分析和报告可疑交易法律,不得违反任何单位或个人。
也就是说,“中国人民银行发行有关的通知”。
请参阅Xiao Bo和Rong Jin:“生与死的数据簿 - 大数据公司和高管可控的刑事法律风险?” 》,来自上海丁达律师事务所的公共帐户,访问地址:访问日期:2020年11月7日。
(2016)GAN 0102 XING CHU No. 605刑事判决和(2017)GAN 01 Xing 89号刑事判决。
请参阅一般数据保护法规(数据)